WinnyとShareマシンで復元不可能な暗号化ファイルを作成するソフト登場 91
ストーリー by next
そろそろShare対応はデフォルトか? 部門より
そろそろShare対応はデフォルトか? 部門より
canashiro曰く、" Internet watchによると、イーディーコントライブは、ファイル共有ソフト「Winny」や「Share」がインストールされているPCでは復号できない暗号化ファイルを作成するソフト「Safety Disclosure Find Winny」を23日に発売するとのこと。販売はダウンロード版のみ(1ライセンスあたり4,200円)で、対応OSはWindows XP/2000。無償で15日間利用可能な体験版も用意してあるようです。(同社によるプレスリリース)
このソフトは自己復号形式のファイルを作成しメールなどで送信すると、相手方のコンピュータで自己復号する際にHDD内をスキャンしてWinnyやShareが存在していれば処理を中止する、という仕組みのようです。
このソフトで暗号化したままの情報がwinnyで流出することは避けられないし、流出した先でwinnyのインストールされていないマシンに移動、復号される危険性があると思うのですが、そこのところはどうなんでしょ。
"
ウイルス感染幇助ソフト (スコア:5, すばらしい洞察)
ウイルス感染しまくり社員を育てるソフトと。
Re:ウイルス感染幇助ソフト (スコア:2, すばらしい洞察)
exeを開かせるなんてもうやばすぎますね。
しかも、暗号化すると、メールのウィルスゲートウェイ立てても素通り(暗号化されてるとウィルスのパターンマッチができない)するから、頼りはクライアントPCのウィルス対策ソフトのみになりますからね。
しかも検知するのは、復号化ファイルができてそれを開く瞬間にしかわからない。
Re:ウイルス感染幇助ソフト (スコア:2, おもしろおかしい)
って添え書きしておけば無問題じゃない?
# そんな事は企画段階で分かってるハズなのでAC
Re:ウイルス感染幇助ソフト (スコア:1, すばらしい洞察)
(逆にそういうものに警戒感持ってる可能性も高いし)
これは添付されてきたら実行しろってわけですねえ・・
このソフトが作るexeファイルと、これに似せて作ったexeと、
どうやって見分けるんだろう??
Re:ウイルス感染幇助ソフト (スコア:1)
データと一緒に出所不明のコードがくっついていることは説明されていません。
穴として… (スコア:5, すばらしい洞察)
キンタマ汚染済みのマシンの共有フォルダだったりしたら、意味無いんじゃないかと…
そこまでチェックしているのかが怪しいなぁ。
/* Kachou Utumi
I'm Not Rich... */
失礼なソフトだな (スコア:5, すばらしい洞察)
「あんたんとこ、こっそりWinny使ってそうで信用ならない。どうせ、exeも平気で実行するんだろ。」
と言ってるのも同然。
Re:失礼なソフトだな (スコア:1)
>と言ってるのも同然。
でも、否定は出来ないんだよな~、うちの会社は。
もちろん、ネタですとも。(たぶん…)
まぁ、試してみないと (スコア:5, 参考になる)
# この時点でかなりダメ
これが意外にもすんなり動きます。で暗号化もちゃんとできるし、サンプルに入れておいたwinny2も検出します。md5あたりをとってチェックするのかなと思い、あえて末尾にダミーのデータをくっつけてみてもちゃんとwinny2を検出していました。
でも、いくつか気になる動作が。
などです。
あくまで環境がwineなので、"chmod -r"でwinnyのディレクトリエントリを参照できないようにしてみたら発覚したわけです。これってWindowsのフォルダへのアクセス権で同様に調整されたりするとやばいでしょうね。各ユーザのディレクトリにWinnyが入っていて、そこが他人にはアクセスできないようなセキュリティ設定になっているとしたら効果がなさそうです。
どなたかが書かれていた「要Administrator権限」なプログラムになっちゃったりして。
実験記録(同内容)はうちの日記 [fuga.jp]でもまとめておきました。
-- やさいはけんこうにいちば〜ん!
Re:まぁ、試してみないと (スコア:3, 参考になる)
暗号化の際に、復号化時にWinny検索をするかどうか設定できるんですね。
で、検索するようにして復号化してみているのですが・・・
HDD内におおよそ100GB以上のファイルがあるので、めちゃくちゃ時間掛かってます。まだ終わりません。
仕事で必要なファイルをこんな方法で送ってこられたらマジぶち切れモンですよ。
あ、やっと終わった。なんだ、ZIP書庫の中に入れとけばWinny発見できないのねw
#体験版ってソース読めば個人情報入力しなくt(ry
Re:まぁ、試してみないと (スコア:2, 参考になる)
ファイル名は変更しても検知します。
Unpack版はWinny.exeだと検知しましたが、ファイル名を変えたらスルーしました。
ちなみに、暗号化済みの実行ファイル自身をWinny.exeにリネームしたら誤検知して復号化をブロックしてしまいましたw
Re:まぁ、試してみないと (スコア:2, 興味深い)
仕組みは子供騙しだけど、
回避できるだけのスキルがある人なら情報流出なんてヘマもしないだろうから、
まぁある程度の効果はあるかな
というところでしょうか。
お値段も安いですし、気休め程度には。
で、肝心の使い道として考えられるのは
DQNな友人が○○寄越せとうるさい時にコレで暗号化して渡す
DQNな同僚が○○寄越せとうるさい時にコレで暗号化して渡す
DQNな上司が○○寄越せとうるさい時にコレで暗号化して渡す
DQNなクライアントが○○寄越せとうるさい時にコレで暗号化して渡す
DQNな(ry
Re:まぁ、試してみないと (スコア:1, 参考になる)
以下妄想ということで。
例えば素材として
・与えられた元ファイル(A)
・与えられたパスワード(P)
・Winnyを検出して復号化するエンジン部(B)
・Winnyを検出せずに復号化するエンジン部(B')
があったとします。
で、暗号化ファイルを生成するルーチンが だったとします。
もしそうだとすると、SDFWを所有するユーザーは(A')内の(B)と(B')に相当するバイナリを入れ替えるだけで
Winny検出機能のコントロールが可能になりますね。
#tmpフォルダ内のファイルが怪しいファイル名ですがあくまでも妄想です。
Re:まぁ、試してみないと (スコア:1)
-- やさいはけんこうにいちば〜ん!
Re:まぁ、試してみないと (スコア:3, 興味深い)
書庫に入れたらどうなるかは(がっかりな)結果がでてますので、ほかを。
亜種とアクセス権など。
と思ってたら、マニュアルを読んでみると結果が書いてありましたね。
>ファイル共有ソフトを検知するのは、稼動するPCのローカルディスクのみです。
>リムーバブルディスク・ネットワークドライブ・その他ネットワーク上は検索の対象外となります。
>ファイル共有ソフトを検知するのは、稼動するユーザーがアクセス可能なフォルダ及びファイルのみと
>なります。制限月ユーザーで稼動されている場合、管理者権限を持つアカウントのフォルダ
>は検知できません。
>また、プライベート設定されているフォルダも検知の対象外となります。
>本ソフトウェアは、現段階でWinny81種、Share3種に対応しております。
亜種の対応だけはがんばったみたいですね、私もWinnyで81種もあるとは知りませんでした。
ちなみにHDD5台(計840GB)の環境でZ\:においたWinnyの検知にどれぐらいかかるのかやってみましたが、
終わらなさそうなのでやめました。
ただ、デスクトップにおいてみると最初は1分弱、2回目以降数秒で検知しましたね。
Re:まぁ、試してみないと (スコア:1, 興味深い)
Windows Vistaだと実行するたびに昇格を求めるダイアログが出てきて、何も考えず「許可」を押す社員を量産することになるんですかね。
涙が出るほどセキュアですね。
原理からして実行ファイルに署名してるとは思えないし、そもそも証明書を持っているならS/MIMEで暗号化して送ればexeファイルの実行を強制する必要もないわけで。
# Winnyの検出はできませんけど
実行ファイルだけ? (スコア:4, すばらしい洞察)
ちょっとでもウイルスの知識がある人がそんなもの実行するとは思えないんですが。
実行ファイルを「Safety Disclosure Find Winny」に突っ込むことでも復号化できるなら、
売り上げ的にイーディーコントライブはウハウハってことですね
実行にはadministrator権限が必要です…とかの可能性は? (スコア:4, すばらしい洞察)
権限しか与えていなかったりするのですが、まともにWinny/Shareの存在をチェックしようとすると
Administratorsじゃないとダメとかの落とし穴はないんでしょうかね?
メールが送られてきて、それが
「添付された実行可能ファイルをAdministratorsで実行してください。あっ、全フォルダスキャンを
しますがウィルスじゃないです。でもデータは暗号化されていますので事前のウィルスチェックは
効きませんよ」
とかだと、さすがにちょっとアレが過ぎるのでまさかとは思いますが。
Re:実行にはadministrator権限が必要です…とかの可能性は? (スコア:5, おもしろおかしい)
全フォルダをスキャンする。セキュリティは無意味だ。
NTFS上でAdmin権限でも触れない設定は可能。 (スコア:1, 参考になる)
Winny/Shareが入っているファイル/フォルダのセキュリティ設定でユーザを全部消すとか、Systemだけにするとかすれば
Administrators権限を持つユーザでもアクセスが拒否される様になります。
で、復号後にセキュリティ設定を戻せば良いだけかと……
#其の存在CheckerがNTFSのセキュリティ設定変更までするのなら知らんが、そんな質の悪い(行儀の悪い)ものは実行したくない。
思いつきで書いてみる (スコア:4, 興味深い)
これを導入しているPCにnyやshare本体を送りつけるなんて嫌がらせも出来るなあ。。
メールで送信した圧縮ファイルの中に一つだけnyやshare本体を紛れ込ませておくとか。。
復号化出来ないのは、色々意見あるでしょうがまあ置いといて、
「どこそこのフォルダにnyやshareがあるから復号できないよ。
復号化したかったらどこそこフォルダのファイルを削除してね」
くらいは表示してくれるんでしょうか。ごくふつーに業務にPCを使っている大半の人は、そこらへん丁寧に表示しないと自分で該当ファイルの削除も出来ないと思うな。
ウィルスや悪意のあるプログラムを送りつけるのはアウトだろうけど、ただ単一のプログラムファイルを送りつけるのは一応問題は無いはず。
そんなことをしても有意義ではないことは解っていますが、あくまで可能性として。
Winnyと名がつくものならば (スコア:4, すばらしい洞察)
まさにWinnyマンセー。
Re:Winnyと名がつくものならば (スコア:4, おもしろおかしい)
Winnyの出現による経済効果の算出をしなければなりませんなぁ。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:Winnyと名がつくものならば (スコア:3, 参考になる)
Winnyの暗号を解読しブロック [srad.jp]
47氏が解説する『Winnyの技術』の発売決定! [srad.jp]
マイクロソフトがWinnyウィルス対策ソフトを12日に配布 [srad.jp]
未知のウィルスの通信も検知し、情報流出防ぐ装置 [srad.jp]
ウイルス被害をトータル補償、ニッセイ同和損保が発売 [srad.jp]
Winny公判で金子被告が流出対策技術に特許出願中と明かす [srad.jp]
Winny「自体」を削除するアンチウィルスソフト登場 [srad.jp]
Winny削除でなく、起動不可にするWinnyStopper登場 [srad.jp]
DELL、防衛庁から56,000台以上のPCを受注 [srad.jp]
金子氏が新たなファイル交換ソフトを共同で開発 [srad.jp]
IIJ、コンテンツ配信にWinny技術を応用 [srad.jp]
政府が情報流出対策ソフト開発を決定 [srad.jp]
ヤマハ、ルーターにWinnyフィルタ機能を搭載 [srad.jp]
Winny上の著作権侵害ファイル、保有ノードのIPアドレスを特定可能に [srad.jp]
ぷららのWinny規制、仕様を変更してリリースへ [srad.jp]
Re:Winnyと名がつくものならば (スコア:3, おもしろおかしい)
# むしろ業績は豚肉価格の上昇で厳しそうです。
Re:Winnyと名がつくものならば (スコア:1)
原理を知ってウイルス作ってるような連中が特定される危険を犯して自分のところから放流する理由はない。 ネット屋とか野良アクセスポイントからの放流するだけで簡単 IP 追跡は回避できるのだから。
の
亜種 (スコア:3, 興味深い)
アップデートで対応できるだろうけど、アップデート前に作成した圧縮ファイルはどうします?
しないさせない!スルー力
Safety Disclosure Find Winny (スコア:3, すばらしい洞察)
Re:Safety Disclosure Find Winny (スコア:4, おもしろおかしい)
「安全公開掘り出し物のWinny」(excite翻訳)
あたりまえのことだけど (スコア:3, すばらしい洞察)
WinnyとShareを削除するかumountすればいいんじゃないの?
Can you over the wall?
Re:あたりまえのことだけど (スコア:3, すばらしい洞察)
Winny、Shareの実行ファイル名変えとくだけで回避できたら間抜けだなあ。
#USB HDD にでもインストールしといて必要な時だけ
#繋げばいくらでも回避できるような気がする。
Re:あたりまえのことだけど (スコア:2, おもしろおかしい)
流石にそこまで間抜けじゃないと思いますが、名称変えた上で実行ファイルにUPXかけといたら検出されなかったりして(w
ファイル名とMD5とかのハッシュ値を羅列した一覧ファイルを自己展開ファイルに入れとくと、ローカルHDD内に一覧ファイルに該当するファイルがあったら展開禁止、とかいう機能を統合アーカイバ辺りで実装すれば(ry
まぁ、やってる事は前述のような仕掛けで、自己展開用モジュールのリソースに一覧持っててるだけな気がします(^^;
にしても、展開するPCでだけ確認取れても、そこから他へ展開後のファイルを移されたら意味ないですねぇ。
#こんなの客から送られて来た日にゃ、メールサーバのウイルスチェッカーでウイルス入りメールとして処理されそうな気がします(^^;
体験版ダウンロードページ (スコア:2, 興味深い)
ダウンロード前の個人情報入力 [s-db.jp]がそのどちらでもないs-db.jpなのは何で? と とは矛盾してない?
まぁこのページのソースには って書いてあるから許すけど。
それはともかく (スコア:1)
想定どおりにすすんだとして (スコア:1, 興味深い)
他のwinny/share無しマシンで展開し、編集したとしましょう。この編集したファイルはどうやって安全に他のマシンに送れば良いんでしょうね。
あ、そのマシンにもソフトを導入させたいんだ…
# 自己展開アーカイブに取り込めるようになっているんだったらそれはそれですごい。
-- やさいはけんこうにいちば〜ん!
Re:想定どおりにすすんだとして (スコア:1)
>この編集したファイルはどうやって安全に他のマシンに送れば良いんでしょうね。
>あ、そのマシンにもソフトを導入させたいんだ…
そこはそれ、Winnyをつかってさくっと…
あぁ、漏れる一方で送りたい会社に送れない~
こういうことですか? (スコア:1)
あれ?
#WinnyやらShareやらサーチする前に、ウイルスを検索…すると別のソフトになっちゃいますかそうですか
つまり (スコア:1, すばらしい洞察)
実に日本らしい・・・
どこかと思ったらStarforceのところか (スコア:1, 参考になる)
ドライバを勝手にSystemに紛れ込ませて入力をフックするマルウェアもどきの動作をする
メディアプロテクトStarforceの販売元ですか。
さもありなん。
検索範囲 (スコア:1, 参考になる)
##それでは、お互いが救われる選択を。
てっきり (スコア:1)
だと思って「おお、そりゃアレゲだ」とコメントを読んでみたらなんか話しの流れがおかしい。
私だけ?
Re:てっきり (スコア:1)
>だと思って「おお、そりゃアレゲだ」とコメントを読んでみたらなんか話しの流れがおかしい。
>私だけ?
いえ私もデス。
復元不可能だったら、意味ねーよー
って突っ込みまで用意してましたから。
# 実際、固定されていないネットワーク網を使って実行、実現される
# アプリケーション(アルゴリズム)って興味あるなぁ
素晴らしいソフトですね (スコア:1)
特にターゲットを絞り込んだ攻撃の場合に効果が大きそうです。
他の人も指摘しているように、このソフトに慣れ親しんだ人は、
メールで送られてきたexeファイルを開くのが普通の行為になる可能性が高いですね。
# 実際にはzipとかのアーカイブにして添付となるのでしょうか
更に、このソフトで暗号化されたファイルを探すことにより、
重要なファイルを発見しやすくなりますね。
このファイルで暗号化されたファイルはもちろん、
近くのディレクトリにあるファイルも重要なものである可能性が高いですね。
このソフトを使わなければ気づかれなかった可能性のあるファイル、
例えば会議等のマルチメディアファイルとか、独自フォーマットのファイルまで、対象になりそうですね。
それらのファイル(の一部)は暗号化されていますが、あまり問題になりませんね。
この自己復号ファイルに見せかけたトロイを送りつけて、
それにパスワードを打ち込ませれば良いわけですから。
更にありがたいことに、ウイルス対策などの甘い自宅のマシン等でも
安心して業務データを扱うようになってくれるケースもありそうですね。
というより、そもそもそのようなケースを想定したソフトでしたね。(笑)
単なる臆病者の Anonymous Cat です。略してACです。
難しく考えずに… (スコア:1)
途方にくれた会社側の対応を単純化させるべく、このソフトを使って暗号化した状態を最終保存形態とすることで今後の
イレギュラーな漏洩を防げますよ、という事ですよね。
exeをサクサク開く人に対しては、結構有力だと思うのですが。
#そんな人に、今の時点で色々と手の混んだ事(回避方法)を出来るとも思えず。
#そして会社のクライアントPCに、仕事に不要なデータなど無いので検索もサクサクのはず。
#だからネットワーク上のディスクやらは読みに行かないのだと思います多分。
本当にウィルスと見分けがつかない (スコア:3, すばらしい洞察)
実行のたびに感染のターゲットになるファイルを
探すのと見た目では区別ができない。
もっと言えば、適当にOffice系のファイルを選んで
ウィルスが発病時の動作でそれを出力すれば、
このソフトを使われたのかウィルスか区別できない。
そういう意味では、これが当たり前になれば、
ターゲットを使っている人に全く怪しまれずに
ターゲットのホストのすべてのファイルに感染する
ようなウィルスを簡単に作れる時代になるでしょうね。
# WinnyやShareの流行は情報部門が予算を
# 取るための新たな戦略だったんだよ...
# という気が最近してきたのでAC。
# IPv6でP2Pをさんざん盛り上げた後は情報漏洩を
# 理由にP2Pを散々叩いているように見えるので。
Re:こういうの嫌い (スコア:1)
というメッセージに
「消さないと復号できないよ☆」
という強制力をつけさせるのが目的なのでは?
社長さんが全社員にむけてたまに送るメールにだけ利用するとかならアリかも。
読んでない奴が怪しい。
#そのメールがwinnyに流出...犯人は唯一復号しないあの人!
Re:こういうの嫌い (スコア:1)
....と、情報漏えい狙いの社員が申しておりますが。
Re:楽観的かもですが (スコア:1)
パスワード入力ダイアログとかの説明があるので、
暗号化で正しいかと思います。
Re:winnyとshareだけでいいの? (スコア:1, おもしろおかしい)
Re:このソフトは自己複合形式のファイルを作成しメールなどで送信すると、相手方のコンピュータで自己複 (スコア:1)